[Résolu] PC infecté par Virut

[ALEXANDRAMONTLUCON]

Bonjour et bonne journée tout d'abord !

 

ensuite finalement les nouvelles ne sont pas bonnes ce matin, le pc rame tant et plus et toujours le meme message avec combofix ! le seul truc positif c'est plus de fenetres qui s'ouvrent de maniere intempestives.

 

La il faut que j'aille bosser (m'occuper des mechantes bebetes encore mais pour nous les Hommes cette fois ) mais je reprend bataille ce soir ...

 

excellente journée ... @+

[ALEXANDRAMONTLUCON]

bonsoir !

 

aller go c'est reparti pour essayer de reparer tout ça !

[ALEXANDRAMONTLUCON]

alors j'ai repris ce message là (la où on en etait rendu donc)

j'ai desactiver la restauration

telecharger les deux bidules et enregistrer sous C

redemarer et fait F5

selectionné invite en mode sans echec

 

et la c'est le BUG ecran noir et ca ne bouge plus AU SECOURS

 

 

 

Aie aie aie, ton amie a chopé le pire virus qui existe! VIRUT...

 

N'utilise surtout plus ComboFix.

Elle a joué avec un carck et a gagné le gros lot, le pire virus qui existe sur le net.

 

C'est jouable mais il va te falloir une sacrée patience; je ne peux malheureusement pas garantir à 100% la désinfection totale, car si UN SEUL fichier m'échappe, Virut repartira de plus belle.

 

C'est un virus qui infecte tous les exécutables, voilà ce que c'est que de télécharger n'importe quoi sur les logiciels de peer to peer... (emule, kazaa, etc.) Même l'autre machine risque d'avoir été contaminée par ce monstre.

 

Au cas où la désinfection échouerait, il faudra formater la partition système sans sauvegarder AUCUN exécutable!

(fichiers en .exe, .scr, .htm, .html, .asp, .php, .zip ou .rar)

 

Comment formater correctement? Réinstallation de Windows XP (avec formatage) - Tutorial - Articles : Astuces-Internet

 

Je vais quand-même tenter de nettoyer cette saleté si tu as la patience de le faire... mais cela ne sera pas terminé cette nuit.

 

Voici la procédure à suivre à la lettre.

 

Désactiver la restauration du système:

Désactivation de la Restauration du système

Pour désactiver la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Activez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

4. Cliquez sur Oui lorsque vous êtes invité à désactiver la Restauration du système.

 

-----------------------

Télécharge les deux fichiers suivants, et enregistre les sur ton lecteur C directement.

• Pour cela, fais un clic-droit sur chacun des liens ci-dessous, et sélectionne enregistrer sous ou enregistrer la cible sous
  Lien 1 : outil Virutkiller de Kaspersky
  Lien 2 : run.bat (pour générer un rapport)
   
  
• Puis, clique sur Parcourir pour les enregistrer
  
• Et sélectionne le lecteur C dans le Poste de travail
  
• Important : note les instructions suivantes sur un papier, tu n'auras plus les instructions sous les yeux ensuite.
  
• Redémarre ton PC
  
• Au redémarrage, appuie sur la touche F5 ou F8 pour obtenir le menu de démarrage des options avancées
  
• Sélectionne l'invite de commande en mode sans échec
  
• Sélectionne ta session
  
• Une fenêtre noire va s'ouvrir.
  
• Tape cd .. (ça correspond donc aux caractères CD, puis la touche espace, puis deux fois le caractère 'point')
  
• tape une nouvelle fois cd..
  
• tu dois obtenir dans la fenêtre ceci c:\
  
• tape ensuite c:\runbat
  
• L'outil va travailler, ne touche à rien et laisse faire. Cela peut prendre un long moment.
  
• Lorsque l'outil a fini de travailler, et qu'il t'est indiqué que l'analyse est finie, redémarre le PC en maintenant la touche ON/OFF enfoncée pour forcer le redémarrage.
  
• Poste le rapport VirutKillerLog.txt qui se trouve sur C, en copiant-collant son contenu.

 

-----------------------------------

 

Ne formate toujours pas, passe cet outil très spécial puis nous utiliserons un autre outil de Kaspersky pour tenter de nettoyer le reste...

 

Ce sera à demain, désolé.

 

Courage.

 

@++

[Apollo]

Bonjour,

 

Il va falloir graver un cd-r sur un pc fonctionnel afin de créer un cd live.

 

Cela sera la dernière possibilité car si cela devait échouer, le formatage serait inéluctable.

 

Kaspersky Rescue Disk 10 Download Télécharger le fichier ISO sur le bureau.

 

Graver tel quel avec Active iso Burner (vitesse la + lente): Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.

 

Régler le boot sequence pour que le pc boote sur le cd au redémarrage de la machine.

 

Suivre les instructions à l'écran et choisir langage - mode graphique etc.

 

---------------------------

Si tu préfères, tu peux créer une clé usb bootable:

 

- 1) Préparation de la clé:

 

- Télécharge l'image iso de RescueDisk10 de Kaspersky

 

- Puis télécharge l'outil Rescuetousb1.0.0.5.exe toujours chez Kaspersky

 

- Lance rescue2usb_1.0.0.5.exe qui va décompresser et créer le fichier rescue2usb.exe

 

 

- Branche une clé USB sur la machine (Minimum 512 Mo)

 

- Formate la clé en FAT32 Formater une clé USB

 

- Lancer le fichier rescue2usb.exe ,sélectionner avec le bouton "Parcourir" l'endroit où se trouve kav_Rescue_10.iso

 

- Vérifie que la clé est bien reconnue dans la fenêtre "Support USB"

 

- Clique sur "DEMARRER"

 

 

Un message indique la fin de la manip avec succès.

 

- 2) Utilisation:

 

- Branche la clé sur la machine à tester.

 

- Lance la machine et sélectionne la clé USB comme périphérique de boot (en général via le bios de la machine ou directement par action sur une clé de fonction au démarrage...)

 

- Si tu ne sais pas faire, reviens sur le forum en précisant le type de machine utilisé, nous tenterons de trouver la séquence appropriée...

 

Lors du boot sur la clé on voit apparaitre quelques indications rapides sans importance pour nous puis apparait l'écran principal:

 

- Appuyer sur une touche rapidement(- de 10 s !) sous peine de booter sur le disque dur ...

 

 

- Sélectionner la langue.

 

 

- Choisir le mode graphique (plus proche de l'environnement Windows habituel).

 

 

--Vont alors se succéder une série d'écran montrant le chargement et l'initialisation du nouvel environnement, il sera aussi demandé d'accepter le contrat d'utilisation, Acceptez ...

 

- Si tu es connecté par fil sur une box ou un routeur en DHCP il y a la possibilité de faire une mise à jour de la base de signature.

 

Pour ceci cliquer sur l'onglet Mise à jour et Exécuter la mise à jour

 

- Revenir à l'onglet Analyse des objets, sélectionner votre disque système (en général C:) et lancer l'analyse

 

 

- En fin de scan il est demandé quelle action doit être réalisée par rescue_Kav pour chaque élément trouvé en règle général favoriser "réparation" si possible ou suivre les recommandations de Kav.

 

 

- De retour sur l'écran Rescue_Kav sélectionne Rapport puis exporter et enregistrer ce fichier au format .txt.

 

 

- Poste le contenu de ce rapport dans le prochain message.

 

@++

Modifié le 16 septembre 2010 par Apollo

[ALEXANDRAMONTLUCON]

bonjour,

 

ok alors c'est fait l'analyse tourne depuis 6h30 ce matin

je suis au boulot mais je post en rentrant en esperant que tout ce soit bien passé ...

 

merci pour tout ces conseils si precieux ...

 

bonne journée @+

[ALEXANDRAMONTLUCON]

Rebonjour

 

alors apriori tout c'est bien passé sauf que je trouve pas le rapport ! il est caché où le coquin ?

[Apollo]

Good morning Doctor,

 

Ah ça! Si j'avais fait l'analyse moua-même je l'aurais ce rapport ^^

 

Pas trop grave: comment va l'ordi?

 

As-tu toujours VirutKiller.com sur le C:\ ?

 

On va l'utiliser mais sans le fichier batch.

 

Si tu ne l'as plus, télécharge-le à nouveau sur le C:\ http://www.sendspace.com/file/q4yne6

 

Redémarre en mode sans échec (restauration du système désactivée) et copie/colle cette commande dans le menu démarrer/exécuter:

c:\virutkiller.com -l c:\VirutKillerLog.txt

et valide.

 

Laisse l'outil aller au bout de son travail; le rapport sera sur le c:\

 

Poste-le après le redémarrage de l'ordinateur.

 

Bonne journée

 

@++

[ALEXANDRAMONTLUCON]

Hello !

 

et bien ecoute, l'ordi ne va pas trop trop mal enfin j'espere !

quelques petites choses cependant :

- je n'ai plus de connection (wifi)

- quand je veux eteindre le pc, il me mets le message que explorer ne repond pas, je dois "terminer maintenant" pour reussir à l'eteindre

- je ne peux pas redemarer en sans echec avec F5 il se bloque sur un ecran tout noir où je ne peux absolument rien faire après que j'ai choisi "made sans echec avec prise en charge reseau" et "windows XP familiale" (pour le faire jusque là je devais cocher /SAFEBOOT dans msconfig avant de redemarer)

 

- pour l'analyse avec le CD hier, j'ai attrapé une grosse crampe au doigt j'ai eu l'impression de cliquer un million de fois sur reparer parce qu'a chaque fois qu'il passait sur un fichier il trouvait win32.virut.ce

mais ca a reussi à finir quand meme et sans message bizarre ... ouf !

 

 

alors je ne suis pas a la maison pour l'instant donc j'ai pas le pc sous les yeux mais je vais suivre les consignes dès que je rentre, cela dit pourrais tu me confirmer un ou deux points avant que je ne fasse tout ca juste histoire que je ne fasse pas de betisse :

 

- il va falloir que je passe par ma clé pour charger virutkiller sur C (plus de connection), seulement comment etre sur qu'elle n'est pas infecté et qu'elle ne va pas reinfecter l'ordi ?

 

- comme l'ordi ne demarre pas en mode sans echec en passant par F5, est ce que je peux cocher /SAFEBOOT comme je faisais auparavent ?

 

merci d'avance , bonne journée aussi @+

[Apollo]

Re,

 

Ne me dis pas que tu n'as pas connecté la clé pendant l'analyse!?

 

pour l'analyse avec le CD hier, j'ai attrapé une grosse crampe au doigt j'ai eu l'impression de cliquer un million de fois sur reparer parce qu'a chaque fois qu'il passait sur un fichier il trouvait win32.virut.ce

mais ca a reussi à finir quand meme et sans message bizarre ... ouf !

^^ Mais il suffisait de cocher une case pour que l'antivirus agisse tout seul sur les détections...

 

Coche alors la case: Apply to all (Très important!)

 

 

Cela manquait effectivement dans l'explication mais le "canned" sur le rescue disk n'est pas de moi.

 

S'il fallait faire une analyse complémentaire il y a encore AVP Tool (Virus removal tool -VRT- comme il est nommé maintenant).

 

Pour Virut Killer, si tu n'as pas accès au mode sans échec, c'est qu'il y a d'autres infections mais il nous faudra vérifier cela plus tard; le plus urgent étant de liquider d'abord Virut, sinon pas de ComboFix possible.

 

Il faudra lancer la commande dans "exécuter" mais en mode normal (les protections devront absolument être désactivées - antivirus et firewall-) Le pc doit également être déconnecté PHYSIQUEMENT du net. (retirer le câble ou couper le wi-fi).

 

Il est dommage de ne pas avoir eu le rapport, mais on fera ce qu'il faut pour virer cette saloperie.

 

Pour le mode sans échec, il va falloir que je regarde si on peut le réparer avec un fichier *.reg à condition que je trouve l'identique pour ce système.

 

@++

[ALEXANDRAMONTLUCON]

Si si pas de panique la clé était branchée ... mais comme seul c: , secteurs d'amorcage , et fichiers cachés etaient cochés, j'ai eu comme un doute l'espace d'un instant !

 

pour la case a cocher, je l'ai bien vu mais comme tu n'en avais pas parlé, j'ai pensé qu'il ne fallait pas y touché , mais qu'elle becasse je fais

 

j'ai relancé l'analyse ce matin avant de partir histoire de ... peut etre que je pourrais recuperer le rapport cette fois ! dit moi seulement comment et ou l'enregistrer pour le retrouver

 

 

voilà voilà ... @+

Modifié le 17 septembre 2010 par ALEXANDRAMONTLUCON